Créer des configurations client en fonction des profils OpenVPN pour mieux gérer les accès
Posted in Informatique
Si comme moi, vous avez installé un serveur OpenVPN sur votre RP préféré, il vous est peut-être arrivé d’avoir besoin de séparer les besoins suivants :
- uniquement avoir accès à son réseau local à distance (accéder à un NAS non connecté à Internet, l’interface Web du routeur Wifi. pour dépanner un pote de passage..)
- mettre en place un proxy Internet pour contourner le firewall d’une entreprise
- combiner les 2
- donner un accès à une ressource particulière à un tiers
Et pour cela, l’utilisation de la variable client-config-dir va nous être très utile
- Avant de commencer la configuration, les choix suivants ont été faits :
- le réseau 10.8.1.0 correspond au besoin 1, le réseau local uniquement
- le réseau 10.8.2.0 correspond au besoin 2, le proxy uniquement pour contourner les firewalls
- le réseau 10.8.0.0 correspond au besoin 3, à savoir un accès à mon réseau local + proxy
- le besoin 4 n’est pas traité dans ce post
- On édite le fichier de configuration du serveur vpn /etc/openvpn/server.conf dans mon cas et on s’intéresse aux lignes rouges. On déclare les 3 réseaux, les routes correspondantes et le chemin du répertoire contenant des fichiers de configuration spécifiques aux clients.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 |
port 1194 proto tcp dev tun script-security 3 ca /etc/openvpn/certs/ca.crt cert /etc/openvpn/certs/pumpkin.crt key /etc/openvpn/certs/pumpkin.key dh /etc/openvpn/certs/dh2048.pem tls-auth /etc/openvpn/certs/ta.key 0 crl-verify /etc/openvpn/crl.pem <span style="color: #ff0000;"><strong>#all : local network + internet gw</strong></span> <span style="color: #ff0000;"><strong>server 10.8.0.0 255.255.255.0</strong></span> <span style="color: #ff0000;"><strong>#local network only</strong></span> <span style="color: #ff0000;"><strong>server 10.8.1.0 255.255.255.0</strong></span> <span style="color: #ff0000;"><strong>#internet gw only</strong></span> <span style="color: #ff0000;"><strong>server 10.8.2.0 255.255.255.0</strong></span> <span style="color: #ff0000;"><strong>client-config-dir ccd</strong></span> <span style="color: #ff0000;"><strong>route 10.8.0.0 255.255.255.0</strong></span> <span style="color: #ff0000;"><strong>route 10.8.1.0 255.255.255.0</strong></span> <span style="color: #ff0000;"><strong>route 10.8.2.0 255.255.255.0</strong></span> keepalive 1800 4000 cipher AES-256-CBC comp-lzo max-clients 3 user nobody group nogroup persist-key persist-tun log /var/log/ovpn/openvpn.log status /var/log/ovpn/openvpn-status.log verb 5 mute 20 |
- On crée le répertoire en question
|
1 |
sudo mkdir /etc/openvpn/ccd |
- On crée ensuite les fichiers client en fonction du CN des profils crées.
|
1 2 3 4 |
/etc/openvpn % sudo cat /etc/openvpn/easy-rsa/keys/index.txt V 270320145652Z 03 unknown /C=FR/ST=FR/L=MaVille/O=MaVille/OU=LoutorInc/CN=<span style="color: #ff0000;"><strong>besoin3-all</strong></span>/name=localhost/emailAddress=admin@domain.com V 270320145721Z 04 unknown /C=FR/ST=FR/L=MaVille/O=MaVille/OU=LoutorInc/CN=<span style="color: #ff0000;"><strong>besoin1-local</strong></span>/name=localhost/emailAddress=admin@domain.com V 270320145758Z 05 unknown /C=FR/ST=FR/L=MaVille/O=MaVille/OU=LoutorInc/CN=<span style="color: #ff0000;"><strong>besoin2-gw</strong></span>/name=localhost/emailAddress=admin@domain.com |
- Le contenu du fichier /etc/openvpn/ccd/besoin1-local, à ajuster en fonction de votre réseau local
|
1 2 3 4 |
ifconfig-push 10.8.1.2 10.8.1.1 push "route 10.8.0.1 255.255.255.255" push "route 10.8.0.0 255.255.255.0" push "route <span style="color: #ff0000;"><strong>192.168.1.0 255.255.255.0</strong></span>" |
- Le contenu du fichier /etc/openvpn/ccd/besoin2-gw
|
1 2 3 4 |
ifconfig-push 10.8.2.2 10.8.2.1 push "route 10.8.0.1 255.255.255.255" push "route 10.8.0.0 255.255.255.0" push "redirect-gateway def1" |
- Le contenu du fichier /etc/openvpn/ccd/besoin3-all, à ajuster en fonction de votre réseau local
|
1 2 3 4 5 6 |
ifconfig-push 10.8.0.2 10.8.0.1 push "route 10.8.0.1 255.255.255.255" push "route 10.8.0.0 255.255.255.0" push "route <span style="color: #ff0000;"><strong>192.168.1.0 255.255.255.0</strong></span>" push "dhcp-option DNS <span style="color: #ff0000;"><strong>192.168.1.5</strong></span>" push "redirect-gateway def1" |
- On édite ensuite les règles IPTables pour autoriser ou non la redirection vers le réseau local (eth0) ou Internet (eth1)
- Les 2 règles POSTROUTING dans nat reroutent automiquement le trafic de 10.8.0.0/24 (tun0) et de 10.8.0.2/24 (tun0) vers Internet (eth1), ce qui correspond aux besoins 2 et 3
- Les 2 premières règles FORWARD/ACCEPT dans filter autorisent le trafic d’OpenVPN (tun0) vers Internet (eth1), ce qui correspond aux besoins 2 et 3
- Les 2 règles suivantes INPUT et OUTPUT autorisent les paquets entrants et sortants de l’interface OpenVPN (tun0), ce qui correspond aux besoins 1, 2 et 3
- La dernière règle FORWARD/DROP interdit les paquets de tun0 ayant une adresse IP de type 10.8.2.X vers le réseau local (eth0), ce qui correspond aux besoins 2 (pas d’accès au réseau local)
|
1 2 3 4 5 6 7 8 9 10 11 12 |
*nat -A POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE -A POSTROUTING -s 10.8.2.0/24 -o eth1 -j MASQUERADE COMMIT *filter -A FORWARD -s 10.8.0.0/24 -i tun0 -o eth1 -j ACCEPT -m comment --comment "Accept forward Internal (tun0) to External (eth1)" -A FORWARD -s 10.8.2.0/24 -i tun0 -o eth1 -j ACCEPT -m comment --comment "Accept forward Internal (tun0) to External (eth1)" -A INPUT -i tun0 -j ACCEPT -m comment --comment "[tun0] Accept incoming packet" -A OUTPUT -o tun0 -j ACCEPT -m comment --comment "[tun0] Accept outgoing packet" -I FORWARD -i tun0 -o eth0 -s 10.8.2.0/24 -d 192.168.1.0/24 -j DROP COMMIT |
- Si on regarde rapidement les logs OpenVPN, on peut vérifier que le serveur charge la bonne configuration client en fonction du profil et envoie les bonnes informations au client
|
1 2 3 4 5 6 7 8 |
Fri Mar 24 10:17:22 2017 us=93304 178.197.231.226:13903 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA Fri Mar 24 10:17:22 2017 us=93505 178.197.231.226:13903 [besoin2-gw] Peer Connection Initiated with [AF_INET]178.197.231.226:13903 Fri Mar 24 10:17:22 2017 us=93715 besoin2-gw/178.197.231.226:13903 OPTIONS IMPORT: reading client specific options from: ccd/besoin2-gw Fri Mar 24 10:17:22 2017 us=94109 besoin2-gw/178.197.231.226:13903 MULTI: Learn: 10.8.2.2 -> besoin2-gw/178.197.231.226:13903 Fri Mar 24 10:17:22 2017 us=94248 besoin2-gw/178.197.231.226:13903 MULTI: primary virtual IP for besoin2-gw/178.197.231.226:13903: 10.8.2.2 RFri Mar 24 10:17:23 2017 us=225647 besoin2-gw/178.197.231.226:13903 PUSH: Received control message: 'PUSH_REQUEST' Fri Mar 24 10:17:23 2017 us=225838 besoin2-gw/178.197.231.226:13903 send_push_reply(): safe_cap=940 Fri Mar 24 10:17:23 2017 us=226036 besoin2-gw/178.197.231.226:13903 SENT CONTROL [besoin2-gw]: 'PUSH_REPLY,route 10.8.2.1,topology net30,ping 1800,ping-restart 4000,route 10.8.0.1 255.255.255.255,route 10.8.0.0 255.255.255.0,redirect-gateway def1,ifconfig 10.8.2.2 10.8.2.1' (status=1) |